افزایش چشمگیر حملات فیشینگ با استفاده از افزونههای Excel XLL مایکروسافت
محققان امنیتسایبری هشدار دادهاند که اخیرا چندین نوع بدافزار خاص به صورت مخفیانه از طریق فایلهای Excel XLL مایکروسافت برای مخاطبان ارسال میشوند.
دنی پالمر، گزارشگر ارشد امنیت، در سایت ZDnet گزارش میدهد که طی ماههای اخیر موجی ازحملات سایبری با سوءاستفاده از فایلهای افزونه مایکروسافت اکسل به منظور ارسال چندین نوع بدافزار در کمپینهای مختلف صورت گرفته است که میتواند کسبوکارها را در معرض خطر سرقت اطلاعات محرمانه، باجافزارها و سایر جرائم و حملات سایبری قرار دهد.
بر اساس جزئیات اعلامی از سوی محققان امنیتی HP Wolf، کمپینها از افزونه مخرب مایکروسافت اکسل برای آلوده کردن سیستمها استفاده میکنند و حملات سایبری از این طریق در بازه زمانی سه ماهه پایانی سال 2021 نسبت به مدت مشابه در سال گذشته آن تا 6 برابر (588%) افزایش داشته است.
فایلهای افزونه XLL بسیار عمومی هستند، زیرا آنها کاربران را قادر به استقرار یک دایره متنوع از ابزارها و توابع اضافی در مایکروسافت اکسل مینمایند. اما مشابه ماکروها، آنها ابزارهایی هستند که ممکن است توسط مهاجمان برای حمله و آسیب به کار گرفته شوند.
حملات از طریق ارسال ایمیلهای فیشینگ بر اساس مراجع پرداخت، صورتحسابها، پیشنهادات قیمت، مستندات حمل و نقل بار و سفارشهای تجاری صورت گرفته و همراه با مستندات اکسل مخرب دارای فایلهای افزونه XLL توزیع میشود. اجرای فایلهای مخرب کاربر را به نصب و فعالسازی افزونه تشویق و اجبار میکند، که به صورت مخفیانه یک بدافزار زا بر روی دستگاه مقصد نصب میکند.
خانوادههای بدافزار که با استفاده از فایلهای افزونه XLL جابجا شده و توزیع میشوند شامل Dridex ,IcedID ,BazaLoader ,Agent Tesla ,Raccoon Stealer ,Formbook و Bitrat میباشند. بسیاری از این انواع بدافزارها، میتوانند راه نفوذی به سیستمهای کامپیوتری مبتنی بر ویندز ایجاد کند که به مهاجمان امکان دسترسی از راه دور به ماشینها، مانیتور کردن فعالیتهای کاربر و سرقت دادهها را میدهد.
محققان همچنین هشدار میدهند که حفرههای نفوذ حاصل از نصب یک بدافزار بر روی کامپیوتر کاربران میتواند راه نفوذ و نصب بدافزارهای دیگر مانند باجافزارها را برای مهاجمان باز کند. به عبارتی حملات XLL میتواند به عنوان ابزاری برای رمزنگاری شبکهها و تقاضای پرداخت باجهای بزرگ استفاده شود.
این حملات XLL میتواند در سوءاستفاده از منابع قربانیان به کار گرفته شوند و بعضا اطلاعات بهدست آمده از ایشان ممکن است که در شبکههای زیرزمینی Dark Web به فروش برسند.
برخی از مهاجمان به واسطه XLL برای سرویسهای خود ارقامی تا 2000 دلار پیشنهاد میدهند که با وجود بالا بودن برای کاربران فرومهای مجرمانه جذاب به نظر میآید.
علاوه بر کمپینهای مبتنی بر XLL، محققان هشدار دادهاند که QakBot که یک فرم خاص از بدافزارهای تروجان است و اغلب به عنوان یک عامل بسترسازی برای حملات باجافزاری به کار میرود، نیز ممکن است از اکسل برای آسیب به قربانیان استفاده کند.
مهاجمانی که رشته ایمیلهای یک کاربر را به منظور ارسال مستندات اکسل مخرب به قربانیان خود به سرقت میبرند، معمولا یک فایل زیپ شده حاوی یک فایل باینری مایکروسافت اکسل (XLSB) برای قربانی ارسال میکنند. اگر کاربر این فایل را اجرا کند یک QakBot بر روی ماشین کاربر نصب خواهد شد.
الکس هلند، تحلیلگر ارشد مجموعه امنیتی HP Wolf، میگوید: «سوءاستفاده از خصوصیات نرمافزارهای رایج برای پنهان کردن بدافزارهای مخرب از تاکتیکهای مهاجمان است، که در این روش از انواع غیررایج فایلها که ممکن است در دروازههای ایمیل مجاز به ارسال باشند، استفاده میشود. تیمهای امنیت باید مراقب باشند که تنها به الگوریتمهای شناسایی فایلها و عوامل مخرب کنونی خود اعتماد نکرده و همواره خود را بر اساس اطلاعات آخرین تهدیدات و روشهای دفاع و مقابله با آنها بهروزرسانی کنند.»
او همچنین اضافه میکند: «مهاجمان به صورت پیوسته از روشهای نوین و خلاقانهای استفاده میکنند تا از کشف حملات خود فرار کنند، لذا بسیار حیاتی است که کسبوکارها سیستمهای دفاعی خود را برای مقابله با حملات و تهدیدات جدید بر اساس چشمانداز حملات احتمالی و نیازهای کسبوکار و مشتریان خود برنامهریزی وتنظیم کنند. عاملان مهاجم در زمینه تکنیکهای حمله به کاربران از قبیل سرقت رشته ایمیل، سرمایهگذاریهای چشمگیری داشتهاند که مقابله با آنها و شناسایی کاربران دوست و دشمن را برای کاربران دشوارتر از گذشته میکند.»
به منظور جلوگیری از گرفتار شدن در دام حملات ناشی از سوءاستفاده از فایلهای XLL پیشنهاد میشود که مدیران سیستم دروازههای ایمیل ورودی را بهگونهای پیکربندی کنند که از ورود کلیه ایمیلهایی که شامل فایلهایی با پسوند .xll باشند ممانعت کرده و تنها اجازه تحویل افزونههایی را بدهند که از شرکای معتبر و مطمئن ارسال شدهاند و حتی پیشنهاد میشود که افزونههای اکسل بهطور کامل غیرفعال شوند.
